亚洲综合在线一区二区三区-日韩超碰人人爽人人做人人添-麻豆国产精品久久人妻-无码人妻丰满熟妇啪啪-天堂精品一区二区三区-99久久综合狠狠综合久久aⅴ

 在上篇文章中我們介紹了關于DDOS攻擊的一些知識，如果我們無法防止這種攻擊，那么怎么做才能最大限度地保護企業網絡呢?首先應該清楚的了解DDoS攻擊的三個階段，然后再學習如何將這種攻擊的危害降到最低。

減少攻擊影響

入侵過濾(Ingress filtering)是一種簡單而且所有網絡(ISP)都應該實施的安全策略。在你的網絡邊緣(比如每一個與外網直接相連的路由器)，應該建立一個路由聲明，將所有數據來來源IP標記為本網地址的數據包丟棄。雖然這種方式并不能防止DDoS攻擊，但是卻可以預防DDoS反射攻擊。

減輕DDoS攻擊危害

但是很多大型ISP好像都因為各種原因拒絕實現入侵過濾，因此我們需要其它方式來降低DDoS帶來的影響。目前最有效的一個方法就是反追蹤(backscatter traceback method)。

要采用這種方式，首先應該確定目前所遭受的是外部DDoS攻擊，而不是來自內網或者路由問題。接下來就要盡快在全部邊緣路由器的外部接口上進行配置，拒絕所有流向DDoS攻擊目標的數據流。

另外，還要在這些邊緣路由器端口上進行配置，將全部無效或無法定位的數據來源IP的數據包丟棄。比如以下地址：

10.0.0.0 - 10.255.255.255

172.16.0.0 - 172.31.255.255

192.168.0.0 - 192.168.255.255

將路由器設置為拒絕這些資料包后，路由器會在每次拒絕數據包時發送一個因特網控制訊息協議(ICMP)包，并將“destination unreachable”信息和被拒絕的數據包打包發送給來源IP地址。

接下來，打開路由器日志，查看那個路由器收到的攻擊資料包最多。然后根據所記錄的數據包來源IP確定哪個網段的資料量最大。在這個路由器上調整路由器針對這個網段為“黑洞”狀態，并藉由修改子網掩碼的方法將這個網段隔離開。

然后再尋找這個網段的所有者的信息，聯系你的ISP以及數據發送網段的ISP，將攻擊情況匯報給他們，并請求協助。不論他們是否愿意幫忙，無非是一個電話的問題。

接下來為了讓服務和合法流量通過，你可以將其它一些攻擊情況較輕的路由器恢復正常，只保留承受攻擊最重的那個路由器，并拒絕攻擊來源最大的網段。如果你的ISP和對方ISP很負責的協助阻擋攻擊數據包，你的網絡將很快恢復正常。

DDoS攻擊很狡猾，也很難預防，但是你可以借由以上方式及時減輕這種攻擊對網絡的影響。面對攻擊，你只需要快速地響應和正確的方法，就可以及時發現攻擊數據流并將其擋掉。